个人总结的一个MP脱壳步骤.docVIP

个人总结的一个VMP脱壳步骤 个人总结的一个VMP脱壳步骤? ? 个人在学习脱VMP加壳的过程中总结的一个步骤。按照这个步骤，包括VMP1.6—2.0在内应该有70%-80%能脱壳。脱不了的也别问我，我也刚开始学习。我还想找人问呢。? ? 想要脱VMP的壳，首要工作当然是要找一个强OD啦！至于是什么版本的OD自己多试验几个，网上大把大把的，一般来说只要加载了你想脱的VMP加壳程序不关闭都可以。? ? 其次就是StrongOD.dll这个插件了，现在用的比较多的就是海风月影，同样网上也是大把大把的。下载回来后复制到你的OD程序所在的文件夹里面的plugin里。StrongOD的设置选项搞不懂就全部打钩。? ? 接下来要做的工作就是搞清楚我们要脱壳的程序编程的语言了，可以用PEID或者fastscanner查看,如果在这里看不到也可以在OD载入以后通过里面的字符串判断了。例如VB的程序会出现MSVB/VC的会出现MSVC等等。这些都是程序运行所需要的windows链接文件。? ? 做完这些预备工作接下来当然是用OD载入文件啦。文件载入后在反汇编窗口CTRL+G搜索VirtualProtect(注意V跟P要大写，至于为什么要搜索这个别问我)。一般来说搜索的结果会出现以下的类似：? ? 7C801AE3? ? E8 75FFFFFF? ???call kernel32.VirtualProtectEx??我们在这里下F2断点。然后F9运行到我们下的这个断点。接下来我们就要注意观察堆栈窗口了。一般来说当我们F9运行到我们上面下的断点的时候在堆栈窗口会出现以下类似：0012F66C? ?|Address = TradeCen0012F670? ?000280D1??|Size = 280D1 (164049.)0012F674? ?|NewProtect = PAGE_READWRITE0012F678? ?0012FF98??\pOldProtect = 0012FF98? ? 我们要注意观察的就是在接下来我们F9运行的时候，ADDRESS和NEWPROTECT这两行的变化。按F9-速度别太快，直到NewProtect项变为PAGE_READONLY，这时候程序就释放完毕了。0012F66C? ?0042A000??|Address = TradeCen.0042A0000012F670? ?000069DE??|Size = 69DE (27102.)0012F674? ?|NewProtect = PAGE_READONLY0012F678? ?0012FF98??\pOldProtect = 0012FF98? ? 现在可以取消刚才我们下的断点了。接下来就是找OEP了。找OEP的时候我个人的一个经验就是OEP一般就在接近上面的ADDRESS地址的附近。例如上面的地址是0042A000，我一般就在这个基础上减到420000搜索程序的特征段，当然我们也可以直接跳到401000开始搜索。虽然我们搜索的范围比较大，但是因为我们搜索的是命令序列，所以工作量还不是很大。? ???废话不多说，CTRL+G--上面的地址，然后CTRL+S 查找命令序列。命令序列的内容就是我们用查到的编程语言的特征段。我们可以在特征段里面选择两三句固定不变的命令查找。例如VC++6.0的特征段是0046C07B U??55? ?? ?? ?? ?? ? push ebp0046C07C? ???8BEC? ?? ?? ?? ???mov ebp,esp0046C07E? ???6A FF? ?? ?? ?? ? push -10046C080? ???68 18064C00? ?? ? push UltraSna.004C06180046C085? ???68 F8364700? ?? ? push UltraSna.004736F80046C08A? ???64:A1 ? mov eax,dword ptr fs:[0]0046C090? ???50? ?? ?? ?? ?? ? push eax0046C091? ???64:8925?mov dword ptr fs:[0],esp0046C098? ???83EC 58? ?? ?? ???sub esp,580046C09B? ???53? ?? ?? ?? ?? ? push ebx0046C09C? ???56? ?? ?? ?? ?? ? push esi0046C09D? ???57? ?? ?? ?? ?? ? push